YouTube Hayalet Ağı
Kötü niyetli bir YouTube hesabı grubu, platformun popülerliğini istismar ederek, şüphelenmeyen kullanıcılara kötü amaçlı yazılımlar gönderiyor. Gerçek eğitim ve yazılım kırma içeriklerini taklit ederek ve etkileşim metriklerine güvenerek, bu saldırganlar faydalı gibi görünen videoları enfeksiyon vektörlerine dönüştürüyor.
İçindekiler
Büyüyen, Uzun Süreli Bir Operasyon
2021'den beri faaliyet gösteren ve güvenlik araştırmacıları tarafından artık YouTube Hayalet Ağı olarak adlandırılan kampanya, 3.000'den fazla kötü amaçlı video yükledi. Bu sayı bu yıl yaklaşık üç katına çıkarak Google'ı rahatsız edici içeriğin çoğunu kaldırmak zorunda bıraktı. Kaldırmalara rağmen, operasyonun ölçeği ve modüler tasarımı, hızla yeniden canlanmasına olanak tanıyor.
Plan Nasıl İşliyor: Güven Bir Silah Olarak
Saldırganlar, meşru kanalları ele geçirir veya yeni kanallar oluşturur ve korsan uygulamalar, oyun hileleri (özellikle Roblox hileleri) veya crack'li yazılımlar içeren videoları yayınlar veya değiştirir. Bu videolar genellikle cilalı eğitim videoları olarak görünür ve izleyicileri içeriğin güvenli olduğuna ikna etmek için gözle görülür güven sinyalleri, yüksek izlenme sayıları, beğeniler ve olumlu yorumlar kullanır. Birçok virüslü video yüz binlerce kez izlendi (bildirilen aralıklar: ~147 bin–293 bin), bu da bu tuzağı özellikle etkili hale getiriyor.
Rol Tabanlı, Dayanıklı Bir Altyapı
Ağın gücü, rol odaklı yapısından gelir: Tehlikeye atanmış hesaplara belirli operasyonel görevler atanır, böylece kampanya, bireysel hesaplar yasaklansa bile devam edebilir. Bu mimari, sürekliliğin korunmasına yardımcı olur ve onarımı zorlaştırır.
Gözlemlenen hesap türleri şunlardır:
Video hesapları : Yem videolar yükleyin ve indirme bağlantılarını açıklamalara, sabitlenmiş yorumlara yerleştirin veya video incelemesine yerleştirin.
Gönderi hesapları : Harici sayfalara bağlantı veren topluluk gönderilerini veya mesajlarını yayınlayın.
Etkileşim hesapları : Sosyal kanıt ve meşruiyet oluşturmak için beğeniler ve teşvik edici yorumlar ekleyin.
Teslimat Zinciri: Bağlantıların Gittiği Yer
Video açıklamalarındaki, yorumlardaki ve gönderilerdeki tıklanabilir bağlantılar, izleyicileri dosya barındırma hizmetlerine (MediaFire, Dropbox, Google Drive) veya ücretsiz platformlarda barındırılan kimlik avı/açılış sayfalarına (Google Sites, Blogger, Telegraph) yönlendirir. Bu hedefler genellikle nihai hedefi gizlemek için URL kısaltıcıları kullanır ve bu da genellikle yükleyiciler veya yükleyiciler sunan ek sayfalara bağlantı verir.
Gözlemlenen Kötü Amaçlı Yazılım Aileleri ve Yükleyiciler
Araştırmacılar, ağı birden fazla bilgi çalma ailesine ve Node.js tabanlı yükleyici ve indiriciye bağladılar, örneğin:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer ve çeşitli Node.js yükleyicileri.
İstismara İlişkin Somut Örnekler
@Sound_Writer adlı bir kanal (yaklaşık 9.690 abone) bir yıldan uzun süredir saldırıya uğruyordu ve Rhadamanthys'i kullanan kripto para birimiyle ilgili videoları barındırmak için kullanılıyordu.
@Afonesio1 isimli kanal (yaklaşık 129.000 abone) 3 Aralık 2024 ve 5 Ocak 2025'te hacklendi ve crackli Adobe Photoshop sunan bir video yayınladı; dağıtılan MSI ise Hijack Loader'ı dağıttı ve bu da Rhadamanthys'i yükledi.
Hayalet Ağlar Neden Bu Kadar İyi Çalışıyor?
Bu kampanyalar, platformun kendi etkileşim araçlarını meşruiyet sinyali vermek için yeniden tasarlamaları sayesinde başarılı oluyor. Rol tabanlı kurulum, hızlı hesap değişimi ve düşük operasyonel kayıp oranı sağlıyor, böylece platform sahipleri içeriği kaldırsa bile genel kampanya devam ediyor. Hayalet Ağlar, tehdit aktörlerinin normal sosyal sinyalleri ve platform özelliklerini silah olarak kullanarak nasıl adapte olduklarının açık bir örneğidir.
Daha Büyük Bir Trend: Teslimat Kanalları Olarak Platformlar
YouTube, kötüye kullanım konusunda tek platform değil; saldırganlar, kurbanları kötü amaçlı bağlantılara yönlendiren eğitim tarzı içerikler yayınlamak için uzun zamandır ele geçirilmiş veya yeni oluşturulmuş hesapları kullanıyor. Diğer meşru hizmetler ve reklam ağları (arama motorları, dosya barındırma siteleri, GitHub gibi kod barındırma siteleri) da dağıtılmış dağıtım zincirlerinin bir parçası olarak kötüye kullanıldı (örneğin, ilgili Stargazers Ghost Network modeli).
Güvenlik Ekipleri ve Kullanıcıların Yapması Gerekenler
Riski azaltmak için pratik adımlar:
- İstenmeyen 'kırılmış' yazılımları ve hileli indirmeleri yüksek riskli olarak değerlendirin; satıcı sitelerini ve resmi mağazaları tercih edin.
- İndirmeden önce platform dışındaki bağlantıları doğrulayın; hedefini kontrol etmeden kısaltılmış URL'leri takip etmekten kaçının.
- Ağ ve uç nokta düzeylerinde hırsız aileleri ve Node.js yükleyicileri için algılamayı güçlendirin; yaygın dosya barındırıcılarından gelen şüpheli indirme davranışlarını izleyin.
- Kullanıcıları, yazılım indirmelerine eşlik eden sosyal kanıt ipuçlarına (görüntülemeler, beğeniler, yorumlar) güvenmemeleri konusunda eğitin.
- Olağandışı yüklemeleri tarayarak ve kimlik bilgilerini değiştirerek tehlikeye atılmış kanalları düzeltin ve içerik oluşturucular için çok faktörlü kimlik doğrulamayı zorunlu kılın.
Kapanış Notu
YouTube Hayalet Ağı, modern saldırganların sosyal mühendisliği platform mekanikleriyle harmanlamadaki ustalığını gözler önüne seriyor. Operasyon, güven sinyallerini ve modüler bir hesap yapısını kullandığı için, savunmacıların teslimat zincirini kesintiye uğratmak ve tehdit yüzeyini küçültmek için kullanıcı eğitimini, platform denetimini ve teknik kontrolleri birleştirmesi gerekiyor.
